Stel, je hebt thuis een goed slot op elke buitendeur, een hond en een beveiligingssysteem. Hoef jij je dan geen zorgen meer te maken over inbraak? Dat hangt er maar net van af … Waar staat jouw huis, welke waardevolle spullen heb je? Ondanks de genomen maatregelen is er toch altijd nog een kans dat er wordt ingebroken.
Met cybersecurity is het niet anders. Maatregelen als firewalls, backups en het gebruik van multi-factorauthenticatie zijn de basis. Je kunt simpelweg niet zonder. Maar is die basis eenmaal op orde, dan komt de vraag wat er verder nog nodig is om jouw informatie te beveiligen. En het antwoord op die vraag verschilt per organisatie.
Cybersecurity vraagt dus om weloverwogen risicomanagement. En dat is een probleem. Want volgens recente rapporten van Agentschap Telecom en NCTV pakken organisaties hun informatiebeveiliging nog niet gestructureerd en afgemeten genoeg aan. In Europa wordt er daarom hard gewerkt aan de implementatie van NIS2. Deze update van de bestaande NIS-richtlijn heeft als doel om organisaties in de Europese Unie weerbaarder te maken tegen cyberaanvallen. Nederland heeft tot 17 oktober 2024 de tijd om de richtlijn in nationale wet- en regelgeving te implementeren. Het is daarom belangrijk om nu al werk te maken van risicomanagement.
Een gebrek aan weloverwogen risicomanagement kan dus leiden tot onnodige risico’s. Maar ook tot onnodige uitgaven: sommige maatregelen zijn voor jouw organisatie misschien minder urgent of niet nodig.
Frameworks
Je staat dus voor een viertal vragen.
- Wat moet er worden beschermd?
- Waartegen?
- Welke maatregelen passen daarbij?
- Hoe moeten die worden geïmplementeerd en uitgevoerd?
Je bent niet de eerste die voor die vragen staat. Daarom zijn er frameworks ontwikkeld waarmee je de cybersecurity gestructureerd vorm kunt geven.
Als je leiding geeft binnen een grote organisatie, dan gebruik je waarschijnlijk al een ISO-framework. Al dan niet verpakt in een Nederlands jasje, zoals in de zorg en bij de overheid. Voor informatiebeveiliging is er ISO/IEC 27001/2: die standaard vertelt wat voor ‘controls’ er nodig kunnen zijn om jouw data goed te beschermen. Probleem is alleen: ISO/IEC 27001/2 vertelt je niet hoe die controls technisch en organisatorisch moeten worden ingevuld. De frameworks en standaarden vertellen alleen wat je moet inregelen en niet hoe.
Dichttimmeren
Gelukkig zijn er andere standaarden voor informatiebeveiliging die de technische kant beter uitwerken. Bijvoorbeeld de CIS: die zijn veel handiger en concreter. IT-afdelingen zullen er prima mee uit de voeten kunnen.
CIS geeft zelfs controls op drie niveaus. Je kunt dus gemakkelijk prioriteiten stellen, op basis van jouw risicoanalyse. En dan geleidelijk doorgroeien, om de last van de implementatie te spreiden. Of om te zorgen dat alles goed landt in de organisatie.
Maar ook CIS heeft nadelen, want de controls dekken werkelijk alle mogelijke vormen van beveiliging. Ze vertellen niet wat jouw organisatie nodig heeft. En de IT-afdeling zal dat ook niet precies weten, want daarvoor hebben ze over het algemeen te weinig zicht op de business. Als je niet uitkijkt, timmeren de IT’ers met CIS alles dicht. Dan wordt de security een probleem omdat mensen eromheen gaan werken.
Aanvullen
Het is dus geen wonder dat informatiebeveiliging voor veel organisaties een pijnpunt is. Maar misschien hoef je helemaal niet te kiezen tussen ISO en CIS! Alle frameworks hebben hun beperkingen, maar ze kunnen elkaar ook aanvullen.
ISO 27001 is namelijk prima geschikt om helder te krijgen wát er precies beschermd moet worden. En processen te implementeren waarmee je gevaren binnen de perken houdt.
Zodra het vervolgens technisch wordt, kunnen jouw IT’ers aan de slag met CIS. Daarbij kunnen ze goed aansluiten bij jouw opzet, want er bestaan ‘vertaallijstjes’ om de beide frameworks aan elkaar te koppelen. Voor 80% dekken ze dezelfde dingen, zo blijkt uit onderzoek.
Zo kun je een goede en realistische roadmap uitzetten voor jouw informatiebeveiliging.
Kroonjuwelen
De aanpak is dan duidelijk. Allereerst kijk je naar de omgeving: zijn er regels en standaarden die jouw organisatie moet volgen? Ook standaarden die jouw leveranciers hanteren, kun je daarbij meenemen.
Vervolgens kies je een framework. Daarmee ga je aan de slag. Allereerst op strategisch niveau, met een business-impactanalyse.
Daarna schat je de risico’s in. Wat zijn de ‘kroonjuwelen’ van jouw organisatie? Wat zijn de essentiële processen? Waardoor worden die bedreigd?
Zij moeten zowel procesmatig als met IT-voorzieningen beschermd worden. Desgewenst kun je andere frameworks gebruiken om het technische (maar ook het procedurele) niveau nader in te vullen. Of kun je handreikingen, zoals van de vereniging Nederlandse gemeenten gericht op BIO en whitepapers, zoals die van NIST gaan inzetten. Deze bevatten concrete aanwijzingen en templates.
Zorg dat je alle stakeholders binnen de organisatie actief betrekt bij dit traject, want informatiebeveiliging blijft vooral mensenwerk. Je kunt hierbij kiezen voor certificering met ISO/IEC 27001 of voor een branchegerichte norm als NEN 7510, maar dat is op zich niet noodzakelijk.
Consultancy
Natuurlijk is dit alles niet simpel. Voor een klein bedrijf is het volledig inregelen van alle maatregelen vanuit een raamwerk onbegonnen werk. In een kort traject met een externe consultant kan gekeken worden hoe dit te rationaliseren is. Op die manier pas je wel een raamwerk toe, maar krijg je assistentie om deze maatregelen pragmatisch in te vullen.
Elk bedrijf is anders, maar niet iedereen hoeft het wiel zelf uit te vinden. Onze consultants helpen je graag op weg.
